Карты, деньги, test in prod
Zero для канала "С нуля до нуля на крипте"Привет, гайдзин.
Давненько я не писал лонгридов, хотя очень хотел. А тут достойный повод подъехал.
Андре Кронье
Чтобы понять, что произошло в ночь с 28 на 29 сентября, надо прочувствовать что за перец этот Андре.
Человек-легенда альтсезона 2020
В феврале этого года выкатил iearn.finance (ныне ребренднулся в yearn.finance) — агрегатор yield фарминга, который полностью ончейн управляет твоими средствами и кладет их туда, где годовые побольше.
Да, такие решения были и раньше (например, RAY), но только с Андре оно стало трушно децентрализованно и ончейн.
Подробный обзор в моем исполнении от 13 февраля можно найти в канале: https://t.me/notothemoon/800
А остальное, как говорится, в учебниках истории. В июле выпущен токен проекта с тикером YFI, который моментально завоевывает свою аудиторию, оформляет листинги на все передовые биржи и с нуля (именно так можно считать стартовую цену запуска токена, поскольку не было премайна, продажи фондам и прочего дерьма) улетает на 20000$+ за одну штуку.
Само собой, склеилось не сразу, как бы не хотели мунбои и прочие хомяки с мечтой в духе “мы пришли в рынок, подождем и заработаем”.
Волны зеленых дилдаков с легкостью вымывают из нас память о старых поражениях, однако зима 2019–2020 была временем затяжного флета или падения, а в марте настал апогей пиздеца с эфиром ниже ста баксов и отрицательной нефтью.
Погрузиться в тему поможет текст Андре от 5 февраля “Things I wish I knew before building Ethereum #DeFi dapps”, где он рассказывает, как потратил порядка 20к веченозеленых на разработку, ничего с этого не получив по сути. И это не считая необходимых расходов на аудиты и прочее, и прочее.
Короче говоря, YFI появился не из воздуха и был явлением ожидаемым в общей картине, хоть и неожиданным в моменте.
Человек-олдфаг
То же касается и самого Андре.
Глупо полагать, что он взял и появился. Дорога в крипте у него давняя и тернистая.
Он уже был однажды популярен. В 2017–2018ых активно занимался аудитом кодов проектов (да-да, те самые ICO, которые лезли из всех щелей) и писал колонки для cryptobriefing.com
Специально для дорогого читателя поднял диалоги аж из 2018 с сообщениями, которые как яд расходились по венкам телеграма за авторством Кронье:
Где-то там же был замечен в работе на fantom.foundation (крайне рекомендую глянуть его интервью из 2019, чтобы оценить, какой это CHAD).
Криптозима была все более затяжной и Андре все больше пропадал с радаров, пока не затух совсем. Вплоть до февраля 2020.
Что мы узнали из этой части
- YEARN — п̶р̶о̶е̶к̶т̶ ̶г̶о̶с̶д̶е̶п̶а̶ проект, кровью и потом заработавший себе место под солнцем. Нет, он не возник как типчиное хайповое хуй пойми что.
- Андре Кронье — тоже не проект госдепа (максимум рептилойд). Сидя, ковыряясь в крипте, он пришел к тому, к чему пришел.
Test in production
Она же тест ин прод, она же “хуярь на чистовик, братка” — стратегия, которую наш создатель могет, умеет, практикует.
Ее суть звучит примерно следующим образом:
Симуляции в тестнете — чаще всего хуйня и не показывает реальной картины мира, поэтому мы будем делать сразу в майннете
У этого подхода есть как очевидные плюсы, так и очевидные минусы.
- Плюсы — реальная экономика, реальные деньги участвуют, реальный фидбэк.
- Минусы — можно изучить кейс, которые произошел с контрактами, которые находились на стадии тестирования и кто-то попытался это заэксплойтить: https://t.me/notothemoon/811
Сентябрьская ночь с 28 на 29
Так что же произошло, что потребовало настолько длинную преамбулу?
28 сентября. 08:14 GMT+3
Андре делает ретвит загадочного поста. Информации в канале 0, только пост и слово “Spartans”:
28 сентября. 09:19 GMT+3
Адрес, связанный с Андре, создает первый контракт непонятного назначения. Суммарно на этот контракт прилетает 11 DAI, да и хуй бы с ним.
Тестят что-то.
Какого-либо особого внимания не наблюдается со стороны общественности.
28 сентября. 10:25–14:15 GMT+3
После первого звоночка, создается суммарно 13 новых смарт-контрактов с того же адреса.
Контракты начинают приобретать какие-то осмысленные очертания.
Контракты-герои истории:
- EMN - https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8
- STR — https://etherscan.io/token/0xd39169eb2cc9ef136edc415308435fe63024efc8
- GIL — https://etherscan.io/address/0xD9194D9FFc638b4B406D899FE6fFF211E9Ab029d
- eLink — https://etherscan.io/address/0xe4ffd682380c571a6a07dd8f20b402412e02830e
- eAAVE — https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198
- eYFI — https://etherscan.io/address/0xed35197cadf01fcbfe6cfc11081f299cffb095bf
- eCRV — https://etherscan.io/address/0xb387e90367f1e621e656900ed2a762dc7d71da8c
- eSNX — https://etherscan.io/address/0xd77c2ab1cd0faa4b79e16a0e7472cb222a9ee175
Не надо быть семи пядей во лбу, чтобы разделить их на группы. 3 токена неизвестного назначения (EMN, STR и GIL) и eToken — синтетические активы, как-то связанные со своими прародителями, которые дали им имена.
Место главного героя занимает EMN, который работает следующим образом:
Непонятно? Давай разбираться.
На графике изображена кривая цены, которая поясняет за следующее: “каждый следующий покупатель токена EMN покупает его по более дорогой цене”.
Кривая достаточно плоская, кроме самого старта.
Покупка токена осуществлялась (да и осуществляется) сначала за счет прямого взаимодействия с контрактом: засылаешь туда DAI ->получаешь EMN обратно.
Нигде никаких анонсов нет, кроме непонятной картинки выше, но ебаный рот этого казино — это же контракт от самого Андре.
29.09. 00:00 GMT+3
В непонятно что начинает лететь DAI как в последний раз.
Твой покорный слуга тоже поучаствовал в этой истории и тоже на шару из предпосылки “Ну это же Андре”. Так что репортаж из самых первых рук.
Что удалось выяснить, пока мы кидали деньги не пойми куда:
- eminence.finance — судя по всему, какая-то игра на блокчейне эфира.
- В пользу этого говорили специфичные ивенты в найденных смарт-контрактах, ретвит Андре и общий тренд на такие штуки.
- Контракт STR — судя по всему, контракт гейм-мастера (он же “главный в этой качалке”). Который к тому же может управлять токенами других контрактов.
- Вырисовалась схема получения всех описанных монет, кроме STR:
- За DAI покупаем EMN через контракт
- За EMN покупаем любой из предоставленных eToken. Так же через контракт
- За DAI покупаем GIL. Что с ним делать — непонятно.
4. Благодаря члену сообщества “Нулевая Якудза” было выдвинуто предположение, что GIL — это ранняя версия EMN, поскольку код, кроме пары мест, идентичен.
А как мы помним, всего контрактов было создано аж 14 штук.
Примерно в тот же момент, как контракты заметили и начали закидывать — появляются первые торговые пары.
Как это водится, первым в игру прыгает юнисвап. Пара EMN/ETH.
И о чудо, конкретно в моем случае за какой-то жалкий час ожидания можно снять три икса. Вот уж поистине деньги из воздуха.
Далее в игру врывается тройной пул на балансере, состоящий из EMN/GIL/DAI и теперь уже непонятный второй токен можно скидывать.
Параллельно пампятся eToken’ы, которые можно раскрутить обратно в EMN и скинуть на иксах.
Таким нехитрым путем на контракта скопилось ~16 миллионов DAI.
29.09. 04:23 GMT+3
Радость, счастье, веселье и тут врывается он. Чернейший. Наичернющий лебедь.
Вид его нагоняет благоговейный ужас:
Цена падает буквально в пол и сначала слабо понятно, что же, блин, произошло, чтобы мы ебнулись в -99%.
А произошел тест ин прод.
29.09. 04:31 GMT+3
Rugpull или “дернуть ковер” — термин, прижившийся в крипте в значении “какое-то событие, что обесценило криптовалюту или привело к потере средств по вине автора проекта”
Первым делом обвинения сообщества полетели в сторону (спавшего на тот момент) Андре.
И было за что.
Обнаружилась транзакция, в которой половина всех DAI отправляется на адрес-создатель всей этой заварухи:
Но все оказывается прозаичнее. Для этого откатимся немного назад во времени.
29.09. 04:23 GMT+3
Во всем виновата всего три транзакции: раз, два и три.
Транзакции, которые провели на тестовый и еще неокрепший контракт флеш-лоан атаку, вытащив вообще всю ликвидность из контракта.
Флеш-лоан атаки уже имели место быть в прошлом, так что чего-то радикально нового не произошло.
Изучить вопрос: https://t.me/notothemoon/801 и https://t.me/notothemoon/804
Дизайн атаки по-простому гениальный:
- С помощью DAI купить из контракта EMN. Много.
- На часть сминтить eToken’ов. Контракты работают так, что при покупки еТокена отправленные EMN сжигаются. Навсегда.
- Сжечь вторую часть обратно в оригинальный контракт по цене выше, так как только что цена пампанулась из-за уменьшившегося сапплая.
- Сжечь eToken’ы, чтобы получить EMN назад.
- Сжечь EMN, чтобы получить DAI.
- Повторить нужное количество раз, чтобы вытащить всю ликвидность.
И все это в одной транзакции.
Хакер (хотя скорее “эксплойтер”, ведь ничего по факту взломано не было. Код работал как и должен был) умудрился вывести все 16 миллионов DAI и отпулить сапплай EMN в небеса, что моментально скатало его цену на 99% вниз.
Как предполагает общественность, далее 8 миллионов, упомянутые выше, были отправлены на адрес Кронье в качестве “извинения”.
Согласно заявлениям команды YEARN, эти 8 лямов будут розданы тем, кто взаимодействовал с контрактом в тот промежуток времени:
На момент публикации заметки рефанд уже роздан в пропорции, которая зависит от момента входа человека в контракт: youreminence.finance
Рефанд тоже сумел породить небольшой срач и угрозы в адрес Артема Banteg (один из главных разработчиков в YFI), так как был добавлен добровольный ползунок донатов, а некоторые гении интерфейсов спутали его с "вывести средства".
Пост-памповое пространство
29.09. 05:09 GMT+3
Андре вышел на связь в твиттере и кратеньким тредом описал, что произошло:
Общественность негодует со словами “хватит твоего тест ин прод” и даже “ты нам теперь бабок торчишь”.
Их можно понять, проебали все свои бабки.
Впрочем, это не отменяет того факта, что деньги изначально были заброшены непонятно во что без сайта, аудита и каких-то официальных заявлений. Еще и с возможностью выйти на иксах.
Что дальше и будет ли игра выпущена — вопрос открытый, но участвовать в этом было пиздец как интересно.
Благодаря рефанду, ушел с тем же, с чем пришел. Есть у меня давняя привычка: как только ситуация позволяет, выдергивать изначальную инвестицию, чтобы мозг себе не сношать.
Она-то меня и спасла.
А уроки, которые стоит усвоить из этой ситуации:
- Не создавать смарт-контракты с адреса, за которым следит куча людей.
- Не тезерить раньше, чем ты хочешь, чтобы люди в этом участвовали.
- Люди не тупые и в какой-то момент отроют все, что было брошено с барского стола.
Тут должна быть какая-то мораль, гайдзин, но ее не будет.